Forum

Einloggen | Registrieren | RSS  

Suche:  
Neuling

12.03.2017,
09:36
 

Portforwarding und Https (Netzwerktechnik)

antworten

Hallo an alle,

ich habe in meiner FritzBox DynDNS und Portforwarding eingerichtet um eine Kamera ansprechen zu können.

Gibt es eine Möglichkeit hier eine Verbindung über https einzurichten?
bastelix(R)

12.03.2017,
23:58

@ Neuling

Portforwarding und Https

antworten

» Hallo an alle,
»
» ich habe in meiner FritzBox DynDNS und Portforwarding eingerichtet um eine
» Kamera ansprechen zu können.
»
» Gibt es eine Möglichkeit hier eine Verbindung über https einzurichten?
 Kann denn deine Kamera (bzw. der Webserver der drauf läuft) HTTPS?

Falls ja, einfach auf den Port 443 weiterleiten, statt auf Port 80 und das httpS in der URL nicht vergessen. (Falls du am Router Port 80 auf die Kamera weiterleitest, musst den auch noch auf 443 umstellen, weil die meisten Browser kein HTTPS über Port 80 machen wollen)

Falls nein, brauchst du einen reverse proxy (z.B. Apache httpd mit mod_proxy, oder Varnish) der auf einem Rechner in deinem Netz läuft. Der Router forwardet dann auf den Proxy und dieser stellt die Verbindung mit der Kamera her. Das ist halt etwas aufwändiger aufzusetzen.
Neuling

17.03.2017,
21:16

@ bastelix

Portforwarding und Https

antworten

Die Kamera kann https
ich erreiche sie unter https://domain.de:Port

der Browser meldet aber, dass die Verbindung nicht sicher ist
was muss ich nun tun?

» » Hallo an alle,
» »
» » ich habe in meiner FritzBox DynDNS und Portforwarding eingerichtet um
» eine
» » Kamera ansprechen zu können.
» »
» » Gibt es eine Möglichkeit hier eine Verbindung über https einzurichten?
» Kann denn deine Kamera (bzw. der Webserver der drauf läuft) HTTPS?
»
» Falls ja, einfach auf den Port 443 weiterleiten, statt auf Port 80 und das
» httpS in der URL nicht vergessen. (Falls du am Router Port 80 auf die
» Kamera weiterleitest, musst den auch noch auf 443 umstellen, weil die
» meisten Browser kein HTTPS über Port 80 machen wollen)
»
» Falls nein, brauchst du einen reverse proxy (z.B. Apache httpd mit
» mod_proxy, oder Varnish) der auf einem Rechner in deinem Netz läuft. Der
» Router forwardet dann auf den Proxy und dieser stellt die Verbindung mit
» der Kamera her. Das ist halt etwas aufwändiger aufzusetzen.
bastelix(R)

17.03.2017,
22:30

@ Neuling

Portforwarding und Https

antworten

» Die Kamera kann https
» ich erreiche sie unter https://domain.de:Port
»
» der Browser meldet aber, dass die Verbindung nicht sicher ist
» was muss ich nun tun?
Ein Zertifikat wird für eine (oder mehrere) Domains ausgestellt und dann von einer Certification Authoritiy (CA) mit deren Zertifikat signiert. Der Browser schaut sich ein Zertifikat von einem Webserver an und prüft folgenden Daten:

1. Ist das Zertifikat noch gültig? (Aktuelle Uhrzeit innerhalb von Gültig-ab und Gültig-bis)
2. Stimmt die aufgerufene Domain mit der Domain für die das Zertifikat ausgestellt wurde überein
3. (bei neueren Browsern) Verwendet das Zertifikat ein sicheres Singnaturverfahren
4. Steht das Zertifikat auf der Liste der zurückgerufenen Zertifikate
5a. Ist das Zertifikat in der Liste der vertrauten Zertifikate
5b. Wurde das Zertifikat von einer CA mit deren Zertifikat signiert und ist das Zertifikat der CA in der Liste der Vertrauten CAs des Browsers
(Reihenfolge hängt vom Browser ab und ggf. kommen noch ein paar andere Prüfungen dazu)

Wenn irgendetwas davon nicht passt bekommst du die Fehlermeldung, dass die Verbindung nicht sicher ist. Nicht sicher ist hier relativ. Wenn dein Browser wegen Punkt 3 meckert ist die Verbindung wirklich nicht sicher. Bei allen anderen Punkten ist die Verbindung sicher verschlüsselt. Es kann aber sein, dass sich jemand zwischen deine Cam und deinen Browser hängt und die Daten mit liest, (Stichwort: Man in the middle attack) was dein Browser wegen der unvollständigen Chain of Trust nicht erkennen kann - darum die Warnung.

Wenn du das Zertifikat auf der Kamera austauschen kannst, dann besorg dir einfach ein gültiges Zertifikat für deine Domain. Entweder bei https://letsencrypt.org/ oder einem Anbieter der Geld dafür haben will oder einfach ein selbst signiertes. Letzteres musst du dann aber in die Liste der vertrauten Zertifikate bei deinem Browser eintragen damit der nicht mehr meckert.
Ansonsten bleibt dir nur übrig das Zertifikat der Kamera auf die Liste der vertrauten Zertifikate deines Browsers zu setzten und im Hinterkopf zu behalten, dass deine verschlüsselte Verbindung möglicherweise doch abgehört werden kann.